Slökkvið á Java - 0day exploit - öll OS

[dori]

Djöfulsins rugl er þetta.
Maður hefði haldið að svona stórt company sem á að sjá um yfir 3 milljarða devices ætti að geta leitað eftir
0day's og patchað það.

Þetta lýsir algjörri vanþekkingu á hugbúnaðarþróun. Það eru alltaf einhverjir gallar. 0day skv. skilgreiningu er eitthvað óþekkt. Fyrir hvern 0day sem uppgötvast þá hafa þeir örugglega patchað 100 alvarlega bögga áður en það kemst til notenda.

[playman]

Djöfulsins rugl er þetta.
Maður hefði haldið að svona stórt company sem á að sjá um yfir 3 milljarða devices ætti að geta leitað eftir
0day's og patchað það.

Þetta lýsir algjörri vanþekkingu á hugbúnaðarþróun. Það eru alltaf einhverjir gallar. 0day skv. skilgreiningu er eitthvað óþekkt. Fyrir hvern 0day sem uppgötvast þá hafa þeir örugglega patchað 100 alvarlega bögga áður en það kemst til notenda.

Ég veit það alveg að það eru alltaf gallar, en þegar að fyrirtæki eins og Oracle er búin að vera með ó-patchaðan exploit eins og Guru postaði
fyrst, í margar vikur jafnvel mánuði. En hey, ég er ekki að seygjast hafa einhverja þekkingu á hugbúnaðarþróun, en mér fynst það samt
skrítið að það sé ekki hægt að senda út patch stuttu eftir að komist hefur upp um hann. Kanski er það bara ég.

[dori]

Það er allt annar handleggur. Að geta ekki patchað bögg sem er kominn upp "fyrir löngu" er eitt. 0day er nýtt exploit og slík munu alltaf vera til staðar á öllum kerfum.

Svo er spurning hver ber ábyrgð á því að þessi browser runtime séu uppfærð. Java sem runtime fyrir applet er t.d. algör bastarður og ég myndi aldrei leyfa slíkt nema á "click-to-play" basis í mínum vöfrum (og þá bara þegar það er algjört must fyrir eitthvað sem ég virkilega treysti).

[Gúrú]

Java sem runtime fyrir applet er t.d. algör bastarður og ég myndi aldrei leyfa slíkt nema á "click-to-play" basis í mínum vöfrum (og þá bara þegar það er algjört must fyrir eitthvað sem ég virkilega treysti).

Sem er alls ekki góð strategía m.v. nýjustu upplýsingar.

[upg8]

Heimavarnaráðuneyti Bandaríkjanna varar tölvunotendur við því að galli í Java-hugbúnaði, sem notaður er á hundruðum milljóna einkatölva, sé svo hættulegur að fólk ætti að hætta að nota Java.
http://www.ruv.is/frett/folki-radid-ad-slokkva-a-java

[dori]

Java sem runtime fyrir applet er t.d. algör bastarður og ég myndi aldrei leyfa slíkt nema á "click-to-play" basis í mínum vöfrum (og þá bara þegar það er algjört must fyrir eitthvað sem ég virkilega treysti).

Sem er alls ekki góð strategía m.v. nýjustu upplýsingar.

Rangt. Þarna er verið að tala um galla í öryggismódelinu sem Java runtiminn sér sjálfur um. Ég er að tala um að ég blokka java pluginið með vafranum.

[coldcut]

Djöfulsins rugl er þetta.
Maður hefði haldið að svona stórt company sem á að sjá um yfir 3 milljarða devices ætti að geta leitað eftir
0day's og patchað það.

Ég veit það alveg að það eru alltaf gallar, en þegar að fyrirtæki eins og Oracle er búin að vera með ó-patchaðan exploit eins og Guru postaði
fyrst, í margar vikur jafnvel mánuði. En hey, ég er ekki að seygjast hafa einhverja þekkingu á hugbúnaðarþróun, en mér fynst það samt
skrítið að það sé ekki hægt að senda út patch stuttu eftir að komist hefur upp um hann. Kanski er það bara ég.

Bara smá forvitni, hvaða stýrikerfi keyrirðu?

[playman]

Djöfulsins rugl er þetta.
Maður hefði haldið að svona stórt company sem á að sjá um yfir 3 milljarða devices ætti að geta leitað eftir
0day's og patchað það.

Ég veit það alveg að það eru alltaf gallar, en þegar að fyrirtæki eins og Oracle er búin að vera með ó-patchaðan exploit eins og Guru postaði
fyrst, í margar vikur jafnvel mánuði. En hey, ég er ekki að seygjast hafa einhverja þekkingu á hugbúnaðarþróun, en mér fynst það samt
skrítið að það sé ekki hægt að senda út patch stuttu eftir að komist hefur upp um hann. Kanski er það bara ég.

Bara smá forvitni, hvaða stýrikerfi keyrirðu?

Þau eru nokkur, fer eftir því hvar ég er og hvað ég er að gera.
það sem ég nota mest er Win7 og Ubuntu, svo eithvað af backtrack og XP

[playman]

http://www.zdnet.com/oracle-patches-mul ... 000009736/

[Gúrú]

Það er ekki búið að laga þetta exploit almennilega. Endilega hafið slökkt á Java (mögulega aldrei kveikja á því yfir höfuð).

[kubbur]

Er ekki android fronturinn java?

[dori]

Er ekki android fronturinn java?

Android forrit eru skrifuð í Java og keyra á Dalvik vélinni. Þau exploit sem þessi þráður fjallar um hafa ekkert með það að gera. Þessi exploit eru í runtime-inu fyrir vafra og (hugsanlega, ég er ekki 100%) Oracle JRE.

[Yawnk]

Er búið að laga þetta?

[hkr]

Er búið að laga þetta?

"Þetta" já, þeas þetta exploit. En það eru víst 2-3 java 0-day í gangi núna eða voru það fyrir stuttu síðan.

Um daginn var pwn2own (exploit keppni þar sem $ eru í verðlaun) og það tókst 4 mismunandi aðilum að exploita java, veit ekki betur en að það voru allt mismunandi aðferðir.

Myndi mæla með að uninstalla því nema að þú þurfir endilega að nota það, en þá að breyta stillingunum þannig að það sé bara virkt (Enable Java content in the browser) þegar þú þarft að nota það og aðeins á síðum sem þú treystir 100%.

Það var semt ekki bara Java sem var með öryggisgalla sem voru sýndir á pwn2own, VUPEN sem er franskt öryggisfyrirtæki (exploit developer) tókst einnig að exploita Chrome, IE 10, Firefox og Flash (keyrt á Win7 explorer 9). Einnig sýndi George Hotz (goehot, þekktur fyrir að hanna jailbreak fyrir iphone) exploit fyrir Adobe Reader.

Þetta voru allt 0-day exloits, s.s. óþekkt exploit.

http://h30499.www3.hp.com/t5/HP-Securit ... -p/5981157

edit: pwn2own byrjaði víst í gær og er enn þá í gangi..

[gardar]

http://java-0day.com/